+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка Wireguard

Настройка Wireguard, RouterOS

Kamaz

Guest

16.07.2022 15:57:00

Привет. У меня есть VPS с сервером WireGuard. Я могу подключиться к нему с моего Windows ПК через клиент WireGuard. Весь трафик идет через мой WireGuard сервер — это нормально и моя первая цель. Но проблема в том, что я не могу перенаправить весь трафик из моей сети через Mikrotik на VPS. Mikrotik выступает как клиент WireGuard.

Конфигурация сервера:
[Interface]
Address = 10.8.0.1/24
SaveConfig = true
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = iptables -D FORWARD -i wg0 -j ACCEPT
ListenPort = 443
PrivateKey = server's_private_key

Конфигурация Windows клиента 1:
[Interface]
PrivateKey = windows_private_key
Address = 10.8.0.10/24

[Peer]
PublicKey = server_publick_key
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = server_external_ip:443
PersistentKeepalive = 10

Конфигурация Windows клиента 2:
[Interface]
PrivateKey = windows_private_key
Address = 10.8.0.11/24

[Peer]
PublicKey = server_public_key
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = server_external_ip:443
PersistentKeepalive = 10

Конфигурация Mikrotik:
/interface/wireguard add listen-port=443 name=WG_to_VPS
/interface/wireguard print
/ip/address add address=10.8.0.2/32 interface=WG_to_VPS
/interface/wireguard/peers
add allowed-address=0.0.0.0/0 endpoint-address=server_ip:443 endpoint-port=443 interface=WG_to_VPS public-key="server_public_key"

Что я хочу:

- Перенаправить трафик для всех клиентов WireGuard через мой VPS сервер. Сейчас это работает для Windows и Android клиентов — сделано.
- Возможность подключаться с одного клиента WireGuard к другому. Между Windows 1 и 2 пинг ходит нормально, между Android и Windows тоже работает. Но связь между Windows и Mikrotik отсутствует.
- Перенаправить весь трафик из LAN сети Mikrotik через VPS — не работает.
- Иметь возможность с Windows/Android клиентов WireGuard обращаться к внутренним ресурсам за Mikrotik, например с 192.168.33.10 или 10.8.0.30 подключаться к 192.168.33.10 — тоже не работает.

Надеюсь, я всё понятно объяснил, и вы поняли мои задачи. Также прикрепил схему сети.

Kamaz Guest	#2 0 04.09.2022 08:06:00 Привет, извиняюсь за поздний ответ. Большое спасибо за помощь, теперь всё работает как часы!

Kamaz

Guest

28.07.2023 09:07:00

Привет снова. Предыдущая конфигурация работала отлично весь прошлый год, ещё раз спасибо. Но пользователи за Mikrotik сталкиваются с очень странной проблемой на некоторых известных сайтах типа Github, Duckduckgo, Iherb, Aliexpress. Раньше это не было важно, но сейчас ситуация ухудшилась. В Chrome выдаёт ошибку ERR_TIMED_OUT, а в Firefox — ns_error_net_timeout и ns_binding_aborted. Та же схема, что и раньше: user(ПК/телефон) > MT роутер (принудительный маршрут трафика) > WG туннель > WG сервер (VPS) > Интернет.

Я проверял конфигурацию Windows, файл hosts, антивирус/фаервол, настройки DNS, браузеры — без результата. Потом попросил людей попробовать Ubuntu и Android — тоже без изменений. Далее отключил всё на стороне Mikrotik (правила FW, NAT, DNS/DOH, все скрипты) — сложившаяся ситуация не изменилась. Пробовали разные браузеры, различные настройки DNS (DOH/без DOH), разных провайдеров DNS — безуспешно. И самое главное — как только отключаешь маршрут к WG серверу, всё работает нормально (прямая связь user > ISP > сайт). Но суть в том, что мне нужно шифровать весь трафик из сетей за MT роутерами.

Кроме того, если пользователь напрямую подключается к WG серверу с ПК или телефона через Wireguard клиент, то тоже всё работает нормально. Вчера я провёл часы в гугле, пытаясь найти что-то по запросу «Wireguard+ns_error_net_timeout» и понять, в чём проблема. Единственное заметное, что нашёл — это проблема с IPv6 в WG+OpenWRT. Но у меня и VPS, и MT роутеры давно отключили IPv6.

Пинг до указанных хостов (Github, Duckduckgo, Iherb, Aliexpress) проходит нормально. Tracert показывает правильный маршрут.

curl -vv https://aliexpress.com
* Trying 47.246.173.237:443...
* Connected to aliexpress.com (47.246.173.237) port 443 (#0)
* schannel: disabled automatic use of client certificate
* ALPN: offers http/1.1
* schannel: failed to receive handshake, SSL/TLS connection failed
* Closing connection 0
curl: (35) schannel: failed to receive handshake, SSL/TLS connection failed

Надеюсь, кто-то сможет помочь, потому что я не знаю, что делать дальше.

Kamaz

Guest

28.07.2023 10:30:00

О боже!!! Я нашёл проблему!
http://forum.mikrotik.com/t/tls-handshake-failing-via-the-wireguard-pppoe/156541/1
https://help.mikrotik.com/docs/display/ROS/Mangle#Mangle-ChangeMSS

Изменение MSS
Общеизвестно, что VPN-соединения используют меньший размер пакетов из-за дополнительной нагрузки накапсуляции. Если большой пакет с MSS, превышающим MSS VPN-ссылки, отправлять, его следует фрагментировать перед передачей через такое соединение. Однако, если у пакета стоит флаг «Не фрагментировать» (Don’t Fragment), его нельзя разбить на части, и он просто отбрасывается.

На каналах со сломанным обнаружением MTU пути (PMTUD) это может вызвать массу проблем, включая трудности с передачей данных по FTP, HTTP и проблемами с электронной почтой.

В случаях, когда PMTUD не работает, уменьшение MSS пакетов, идущих через VPN, решает проблему.

Пример снижения MSS через mangle:
/ip firewall/mangle/ add out-interface=WG protocol=tcp tcp-flags=syn action=change-mss new-mss=1360 chain=forward tcp-mss=1301-65535

anav

Guest

28.07.2023 13:02:00

Мы используем похожее правило, если проблемы возникают из-за стороннего провайдера… Не ожидал такого от твоего VPS.
Вызвал mSS clamping:
/ip firewall mangle add action=change-mss chain=forward comment="Clamp MSS to PMTU for Outgoing packets" new-mss=clamp-to-pmtu out-interface=wireguard1 passthrough=yes protocol=tcp tcp-flags=syn

Одна из причин, почему PTMUD и подобное ломается — это запрет ICMP ping, поэтому одна из стандартных правил на MT RoS такая:
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

Какие вообще есть правила на VPS по ICMP???

========================

Решение, которое ты нашёл, тоже есть в ссылке, которую я дал раньше → https://forum.mikrotik.com/viewtopic.php?t=182340, смотри под пунктом (9) **d.** MTU-MSS ISSUES

Kamaz Guest	#6 0 30.07.2023 07:31:00 Привет. На моем VPS есть одно правило для ICMP: -A INPUT -i eth0 -p icmp -j ACCEPT

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры